Porte dérobée Turla

Le Turla APT (Advanced Persistent Threat) est un tristement célèbre groupe de piratage informatique russe, qui opère depuis plus d'une décennie maintenant. Ils sont aussi appelés Uroburos APT ou Snake APT. Ils sont connus pour avoir un goût prononcé pour les victimes haut de gamme. Il a été rapporté que le Turla APT avait infiltré le Collège fédéral allemand d'administration publique et, par son intermédiaire, avait réussi à compromettre le ministère fédéral des Affaires étrangères du pays. De plus, il ne s'agissait pas d'une pénétration ponctuelle ; il a été révélé que le Turla APT est passé sous le radar des autorités allemandes pendant presque toute l'année 2017. Pendant ce temps, le groupe de piratage siphonnait et collectait des données gouvernementales. Cette opération impressionnante a été réalisée avec un outil d'APT appelé Turla Backdoor.

Trois pays européens ont signalé des attaques de ce groupe de piratage russe. Les cibles étaient encore une fois leurs bureaux à l'étranger. On peut supposer que le Turla APT est fortement impliqué dans l'espionnage puisque ses cibles principales ont toujours été des diplomates, des autorités militaires et étatiques et des politiciens. On soupçonne que le Turla APT pourrait être lié au gouvernement russe, mais cette information n'a pas encore été confirmée.

On pense que la porte dérobée du Turla APT remonte à 2009. Cependant, le groupe de piratage n'est pas resté inactif au fil des ans et a introduit de nombreuses améliorations à sa porte dérobée, telles que la capacité de la menace à recevoir des commandes via un fichier PDF joint à un e-mail. , qui a été introduit en 2016. En 2018, une nouvelle fonctionnalité a été ajoutée à la porte dérobée de Turla APT - elle a été mise à niveau avec la possibilité d'exécuter des commandes PowerShell sur l'hôte infecté.

Cette version la plus récente de cette porte dérobée est dotée de la capacité d'infiltrer Microsoft Outlook. Il est intéressant de noter que Turla APT n'utilise pas de vulnérabilité dans l'application, mais manipule à la place le MAPI (Messaging Application Programming Interface) légitime de Microsoft Outlook et accède ainsi aux messages directs de leurs cibles. Contrairement à la plupart des portes dérobées, qui reçoivent généralement des commandes via un serveur de commandement et de contrôle des auteurs, la porte dérobée Turla est contrôlée via des e-mails spécialement conçus grâce à l'amélioration introduite par le Turla APT en 2016. La porte dérobée Turla est capable d'exécuter de nombreuses commandes, parmi lesquelles qui collectent des données et téléchargent et exécutent divers fichiers. Cette porte dérobée n'est pas trop pointilleuse en ce qui concerne l'endroit où elle est plantée - la porte dérobée Turla se présente sous la forme d'un module DLL (Dynamic Link Library) et capable de s'exécuter de n'importe où sur le disque dur. De plus, Turla APT utilise un utilitaire Windows (RegSvr32.exe) pour installer sa porte dérobée sur le système ciblé.

Bien sûr, comme toute menace hautement efficace de ce calibre, la Turla Backdoor est également dotée d'une grande persistance. Pour minimiser les chances d'être détecté, la porte dérobée Turla ne remplira pas ses « fonctions » tout le temps. Au lieu de cela, il utilise une vulnérabilité Windows bien connue concernant le Component Object Model (COM.). En exploitant cette vulnérabilité, la porte dérobée est capable d'injecter ses instances dans le processus légitime 'outlook.exe', éliminant ainsi le besoin d'utiliser une DLL. injection – un vecteur d'attaque que les produits antivirus détectent facilement.

En infiltrant Microsoft Outlook, la porte dérobée Turla est capable de collecter les métadonnées sur l'activité de messagerie de leur victime - objet de l'e-mail, nom de la pièce jointe, expéditeurs et destinataires. Ces données sont collectées et stockées par la porte dérobée Turla et sont périodiquement transférées aux serveurs de l'attaquant. Une menace comme le Turla Backdoor pourrait causer beaucoup de dégâts, surtout si les attaquants parviennent à infecter un système utilisé pour stocker des données ou des communications sensibles et il est évident que le Turla APT cible exactement ces utilisateurs.

Outre le vol de données, le malware peut être invité à télécharger des fichiers supplémentaires ou à exécuter des scripts PowerShell corrompus. En conclusion, le Turla Backdoor est une menace qui se rapproche d'un rootkit dans ses fonctionnalités.